12 Giám sát và soát xét rủi ro an toàn thông tin
12.2 Giám sát soát xét và cải tiến quản lý rủi ro
Đầu vào: Tất cả các thông tin rủi ro thu được từ các hoạt động quản lý rủi ro (xem Hình 2).
Hành động: Cần phải giám sát, soát xét và cải tiến liên tục quy trình quản lý rủi ro an toàn thông tin. Hướng dẫn triển khai:
Liên tục giám sát và soát xét là cần thiết để đảm bảo bối cảnh, kết quả của việc đánh giá và xử lý rủi ro, cũng như các kế hoạch quản lý rủi ro vẫn còn có thích đáng và phù hợp với hoàn cảnh.
Tổ chức cần phải chắc chắn quy trình quản lý rủi ro an toàn thông tin và những hoạt động liên quan vẫn còn phù hợp trong hoàn cảnh hiện tại và tương lai sau này. Bất kì sự cải tiến nào đã được chấp nhận cho quy trình hoặc các hành động cần thiết để cải tiến phù hợp với quy trình đó nên được thông báo cho người quản lý thích hợp để đảm bảo không có rủi ro hay yếu tố rủi ro nào bị bỏ qua hoặc bị đánh giá thấp và những hành động cần thiết được thực hiện và các quyết định được đưa ra để cung cấp đầy đủ sự hiểu biết về rủi ro thực tế và khả năng để đáp ứng lại kịp thời.
Ngoài ra, tổ chức cần phải thẩm tra thường xuyên các tiêu chí được sử dụng để đo lường mức độ rủi ro và các yếu tố của tiêu chí có còn phù hợp với mục tiêu, chiến lược và chính sách nghiệp vụ không, và cần phải xem xét một cách đầy đủ những thay đổi đối với bối cảnh nghiệp vụ trong suốt quy trình quản lý rủi ro an toàn thông tin. Hoạt động kiểm tra và soát xét cần phải giải quyết (nhưng không giới hạn):
• Bối cảnh môi trường và pháp lý • Bối cảnh cạnh tranh
• Phương pháp đánh giá rủi ro • Các loại tài sản và giá trị tài sản • Tiêu chí tác động
• Tiêu chí ước lượng rủi ro • Tiêu chí chấp nhận rủi ro • Tổng chi phí sở hữu • Các nguồn lực cần thiết
Tổ chức cần phải đảm bảo các nguồn lực đánh giá và xử lý rủi ro luôn luôn liên tục sẵn sàng để soát xét rủi ro, giải quyết các mối đe dọa hoặc điểm yếu mới hoặc đã bị thay đổi, và tư vấn quản lý cho phù hợp.
Giám sát quản lý rủi ro có thể dẫn đến kết quả là sửa đổi hay bổ sung phương pháp, phương pháp luận hoặc những công cụ đã được sử dụng, và phụ thuộc vào:
• Những thay đổi đã được nhận biết
• Chu trình lặp đi lặp lại của việc đánh giá rủi ro
• Mục đích của quy trình quản lý rủi ro an toàn thông tin (như quy trình liên tục trong nghiệp vụ, khả năng khôi phục sau sự cố, sự tuân thủ)
• Mục tiêu của quy trình quản lý rủi ro an toàn thông tin (như tổ chức, đơn vị nghiệp vụ, quy trình thông tin, triển khai kỹ thuật, ứng dụng, kết nối internet)
Đầu ra: Sự thích đáng liên tục của quy trình quản lý rủi ro an toàn thông tin với mục tiêu nghiệp vụ
PHỤ LỤC A (Tham khảo)
Định nghĩa phạm vi và giới hạn của quy trình quản lý rủi ro an toàn thông tin A.1 Nghiên cứu về tổ chức
Ước lượng tổ chức: Nghiên cứu về tổ chức là nghiên cứu các yếu tố đặc trưng xác định danh tính của một tổ chức. Đó là: mục đích, nghiệp vụ, nhiệm vụ, giá trị và chiến lược của tổ chức đó. Những vấn đề này phải được nhận biết cùng với các yếu tố đóng góp cho sự phát triển chung (ví dụ như kí kết hợp đồng phụ).
Khó khăn của hoạt động nghiên cứu này là hiểu được một cách chính xác tổ chức được cấu trúc như thế nào. Việc nhận biết cấu trúc thực tế của tổ chức sẽ giúp cho chúng ta hiểu rõ thêm về vai trò và tầm quan trọng của mỗi đơn vị trong việc hoàn thành các mục tiêu của tổ chức.
Ví dụ, trong thực tế việc người quản lý an toàn thông tin báo cáo với người quản lý cấp cao nhất thay vì báo cáo cho những người quản lý công nghệ thông tin có thể thể hiện sự tham gia của người quản lý cấp cao nhất trong an toàn thông tin.
Mục đích chính của tổ chức: Mục đích chính của một tổ chức có thể được xác định như là lý do tại sao tổ chức tồn tại (về lĩnh vực hoạt động, thị phần…)
Nghiệp vụ của tổ chức: Nghiệp vụ của tổ chức, được xác định bởi các kỹ thuật và hiểu biết của nhân viên, giúp tổ chức hoàn thành các nhiệm vụ của mình. Đây là nét đặc trưng cho lĩnh vực hoạt động của tổ chức và thường tạo nên văn hóa của tổ chức đó.
Nhiệm vụ của tổ chức: Tổ chức đạt được mục đích bằng cách hoàn thành nhiệm vụ của mình. Để nhận biết các nhiệm vụ của tổ chức, các dịch vụ được cung cấp và/hoặc các sản phẩm được sản xuất phải được nhận biết trong mối quan hệ với những người dùng cuối.
Giá tri của tổ chức: Giá trị là các nguyên tắc chính hoặc là một quy tắc quản lý được xác định tốt được áp dụng cho việc thực hiện nghiệp vụ. Các giá trị này có thể liên quan đến nhân sự, các mối quan hệ với các tác nhân bên ngoài (khách hàng…), chất lượng sản phẩm được đáp ứng hoặc dịch vụ được cung cấp.
Lấy ví dụ về một tổ chức có mục đích là dịch vụ công cộng, có nghiệp vụ là công việc vận chuyển và có nhiệm vụ là đưa và đón trẻ đến trường học. Những giá trị của tổ chức có thể là đúng giờ và tính an toàn trong suốt quá trình đưa đón.
Cấu trúc của tổ chức: Tổ chức có những kiểu cấu trúc khác nhau như sau:
• Cấu trúc phòng ban: Mỗi phòng ban được đặt dưới sự giám sát của một cán bộ quản lý có trách nhiệm đối với các quyết định về chiến lược, quản trị và vận hành liên quan đến đơn vị.
• Cấu trúc chức năng: Quyền hạn mang tính chức năng được thực thi dựa trên thủ tục, bản chất công việc và đôi khi là các quyết định hoặc kế hoạch (ví dụ: sản phẩm, IT, các nguồn nhân lực, thương mại...).
Chú ý:
• Một phòng ban trong một tổ chức có cấu trúc phòng ban có thể được thiết lập như một cấu trúc chức năng và ngược lại.
• Một tổ chức có thể được nói là có một cấu trúc ma trận nếu tổ chức đó có các yếu tố của cả hai kiểu cấu trúc trên.
• Trong bất kì cấu trúc tổ chức nào đều phải phân biệt các mức sau đây: o mức ra quyết định (xác định các định hướng chiến lược);
o mức lãnh đạo (điều phối và quản lý);
o mức vận hành (các hoạt động sản xuất và hỗ trợ).
Biểu đồ của tổ chức: Cấu trúc của tổ chức được trình bày theo mô hình biểu đồ tổ chức. Biểu đồ này cần phải nêu bật được phạm vi quản lý và quyền hạn của người lãnh đạo, nhưng cũng phải bao gồm những mối quan hệ khác, mặc dù những mối quan hệ này không dựa vào bất cứ quyền hạn chính thức nào nhưng vẫn phải thể hiện thông tin rõ ràng.
Chiến lược của tổ chức: Yêu cầu phải có một thể hiện chính thức về các nguyên tắc định hướng của tổ chức. Chiến lược của tổ chức sẽ xác định phương hướng và nhu cầu phát triển để mang lại lợi ích từ những vấn đề đang bấp bênh và những thay đổi chính trong kế hoạch của tổ chức.
A.2 Danh sách các ràng buộc ảnh hưởng đến tổ chức
Cần phải xem xét toàn bộ các ràng buộc ảnh hưởng đến tổ chức và việc xác định định hướng an toàn thông tin của tổ chức đó. Nguồn của các ràng buộc này có thể ở bên trong tổ chức và trong trường hợp này có vài biện pháp vượt quá ràng buộc hoặc ở bên ngoài tổ chức và do đó nói chung là khó có thể thương lượng. Các ràng buộc về nguồn lực (ngân sách, nhân sự) và những ràng buộc khẩn cấp là những ràng buộc quan trọng nhất.
Tổ chức đặt ra các mục tiêu của mình (liên quan đến nghiệp vụ, hành vi của tổ chức...) cam kết theo một đường lối nhất định, có khả năng là trong một thời gian dài. Tổ chức phải xác định mục tiêu mà tổ chức muốn hướng tới và những phương tiện cần thiết để triển khai. Trong quá trình xác định đường lối này, tổ chức cần xem xét đến sự phát triển về kỹ thuật và hiểu biết, những mong muốn được bày tỏ của những người sử dụng, khách hàng... Mục tiêu này có thể được thể hiện dưới dạng vận hành hoặc trong các chiến lược phát triển với mục đích như cắt giảm chi phí vận hành, cải tiến chất lượng dịch vụ...
Các chiến lược này có thể bao gồm cả thông tin và hệ thống thông tin (IS) mà hỗ trợ cho những ứng dụng của hệ thống. Do đó, những đặc điểm liên quan đến danh tính, nhiệm vụ và các chiến lược của tổ chức là những yếu tố cơ bản trong việc phân tích vấn đề bởi vì sự vi phạm của một khía cạnh an toàn thông tin dẫn đến việc xem xét lại các mục tiêu chiến lược này. Ngoài ra, điều quan trọng là những đề
xuất cho các yêu cầu an toàn thông tin vẫn còn phù hợp với các quy tắc, tập quán và các biện pháp đang có hiệu lực trong tổ chức.
Danh sách các ràng buộc bao gồm (nhưng không giới hạn): Ràng buộc về bản chất chính trị
Là những ràng buộc có liên quan đến các cơ quan hành chính thuộc chính phủ, các tổ chức hiệp hội cộng đồng hoặc khái quát hơn là bất kì tổ chức nào phải áp dụng các quyết định của chính phủ. Chúng thường là những quyết định liên quan đến các định hướng chiến lược hay vận hành được ban hành bởi một cơ quan thuộc chính phủ hoặc cơ quan chịu trách nhiệm trong việc đưa ra quyết định và phải được áp dụng.
Ví dụ: việc tin học hóa các hóa đơn chứng từ hay các tài liệu quản lý mở đầu cho các vấn đề an toàn thông tin.
Ràng buộc về bản chất chiến lược
Các ràng buộc có thể nảy sinh từ những thay đổi có kế hoạch hoặc có thể xảy ra đối với cấu trúc hoặc định hướng của tổ chức. Các ràng buộc này được thể hiện trong các kế hoạch chiến lược hoặc vận hành của tổ chức.
Ví dụ: hoạt động hợp tác quốc tế trong vấn đề chia sẻ những thông tin nhạy cảm có thể đòi hỏi phải có những thỏa thuận liên quan tới sự truyền thông an toàn.
Ràng buộc về lãnh thổ
Cấu trúc và/hoặc mục đích của tổ chức có thể đưa ra các ràng buộc đặc trưng như sự phân bố về vị trí trên toàn bộ lãnh thổ của quốc gia hoặc ở nước ngoài.
Ví dụ bao gồm: các dịch vụ bưu chính, đại sứ quán, ngân hàng, các công ty con của một tập đoàn công nghiệp lớn...
Ràng buộc nảy sinh từ tình hình kinh tế và chính trị
Sự vận hành của một tổ chức có thể bị thay đổi một cách sâu sắc bởi những sự kiện đặc trưng như các cuộc đình công hoặc các cuộc khủng hoảng trong phạm vi quốc gia và quốc tế.
Ví dụ: một vài dịch vụ cần có thể tiếp tục duy trì thậm chí trong một khủng hoảng nghiêm trọng.
Ràng buộc về cấu trúc
Bản chất cấu trúc của một tổ chức (phân chia theo bộ phận, theo chức năng hay loại khác) có thể dẫn tới một chính sách an toàn thông tin cụ thể và tổ chức an toàn phù hợp với cấu trúc.
Ví dụ: một cấu trúc quốc tế cần phải có khả năng điều hòa các yêu cầu an toàn đặc trưng theo từng nước.
Ràng buộc về chức năng
Ví dụ: một tổ chức vận hành theo chu trình cần đảm bảo chắc chắn các nguồn lực của tổ chức đó phải luôn luôn sẵn sàng.
Ràng buộc liên quan đến vấn đề nhân sự
Tính chất của những ràng buộc này thay đổi một cách đáng kể. Chúng bị chi phối bởi: mức độ trách nhiệm, tuyển dụng, phẩm chất, đào tạo, nhận thức về an toàn, động cơ, sự sẵn sàng...
Ví dụ: toàn bộ nhân viên của một tổ chức bảo vệ cần phải có thẩm quyền xử lý thông tin mật ở mức độ cao.
Ràng buộc nảy sinh từ lịch công tác (thời gian biểu) của tổ chức:
Những ràng buộc này có thể là kết quả từ việc tái cấu trúc hoặc thiết lập những chính sách mới mang tầm quốc gia hoặc quốc tế trong những thời hạn nhất định.
Ví dụ: việc tạo ra một bộ phận an toàn.
Ràng buộc liên quan tới phương pháp
Các phương pháp phù hợp với tri thức của tổ chức sẽ cần được áp dụng cho khía cạnh như là lập kế hoạch dự án, hướng dẫn kỹ thuật, sự phát triển...
Ví dụ: một ràng buộc điển hình thuộc loại này là nhu cầu hợp nhất các nghĩa vụ hợp pháp của tổ chức thành chính sách an toàn.
Ràng buộc mang bản chất văn hóa
Trong một vài tổ chức, các thói quen trong công việc hoặc nghiệp vụ chính đã dẫn đến một “văn hóa” đặc trưng trong tổ chức, “văn hóa” này có thể không phù hợp với các biện pháp an toàn. Văn hóa này là khung tham khảo chung của nhân sự và có thể được quyết định bằng nhiều khía cạnh, bao gồm: giáo dục, học vấn, kinh nghiệm chuyên gia, kinh nghiệm bên ngoài công việc, quan điểm, triết học, lòng tin, địa vị xã hội...
Ràng buộc về ngân sách
Các biện pháp an toàn đã được đề xuất đôi lúc có thể có chi phí áp dụng quá cao. Do đó, cần phải cân nhắc khi áp dụng các biện pháp này vì còn phụ thuộc vào ngân sách của từng tổ chức.
Ví dụ: trong khu vực tư nhân và một vài tổ chức công cộng, tổng chi phí cho các biện pháp an toàn thông tin cần không vượt quá chi phí xử lý các hậu quả tiềm ẩn của những rủi ro. Do đó, ban quản lý cao nhất cần phải đánh giá và chấp nhận các rủi ro đã được tính toán nếu tổ chức muốn tránh những chi phí an toàn vượt trội.
A.3 Danh sách các tài liệu tham khảo về quy định pháp luật có thể áp dụng cho tổ chức
Các yêu cầu quản lý áp dụng cho tổ chức cần được nhận biết. Các yêu cầu này có thể là các luật, nghị định, những quy định cụ thể trong lĩnh vực của tổ chức hay các quy định nội bộ và/hoặc bên ngoài.
Điều này cũng liên quan đến các hợp đồng, các thỏa thuận và khái quát hơn là bất kì nghĩa vụ nào có tính chất quy phạm pháp luật hoặc quy định.
A.4 Danh sách các ràng buộc ảnh hưởng đến phạm vi
Thông qua việc nhận biết các ràng buộc, có thể liệt kê các ràng buộc có tác động đến phạm vi và xác định được ràng buộc nào tuy thế mà chịu ảnh hưởng của hoạt động. Những ràng buộc này thêm vào, và có thể điều chỉnh các ràng buộc của tổ chức đã xác định ở trên. Phần dưới đây đưa ra danh sách chưa hoàn chỉnh về những kiểu ràng buộc.
Ràng buộc nảy sinh từ những quy trình đã có
Các dự án ứng dụng không nhất thiết phải được phát triển một cách đồng thời. Một vài dự án ứng dụng phụ thuộc vào những quy trình đã có. Mặc dù một quy trình có thể bị phân ra thành nhiều quy trình con, quy trình này không nhất thiết phải chịu ảnh hưởng bởi toàn bộ các quy trình con của quy trình khác.
Ràng buộc kỹ thuật
Các ràng buộc kỹ thuật, liên quan đến cơ sở hạ tầng của tổ chức, phát sinh khi cài đặt các thiết bị phần cứng hay phần mềm, và phát sinh từ phòng hay vị trí diễn ra quy trình:
• Các tập tin (các yêu cầu liên quan đến tổ chức, quản lý phương tiện thông tin, quản lý các quy tắc truy cập...)
• Kiến trúc tổng thể (các yêu cầu liên quan đến kiểu kiến trúc (tập trung, phân tán, khách - máy chủ), kiểu kiến trúc vật lí…)
• Phần mềm ứng dụng (các yêu cầu liên quan đến thiết kế phần mềm đặc trưng, các tiêu chuẩn của thị trường...)
• Gói phần mềm (các yêu cầu liên quan đến các tiêu chuẩn, mức đánh giá, chất lượng, tuân thủ